科来网络分析系统案例集

©2009科来技术支持部科来软件江电话：86-2传真：86-2网址：http技术论坛：科来软件保留所部江苏办事处25-5792103325-57921033p://        科来网应所有权利33asoft.com.w.csna.cn            ‐ 1 ‐      网络分析应用案例   cn            析系统例           统科来网络分析析系统  1234 .应用背景 ..系统概述 ..应用案例 .3.1案例分3.2网络故3.3网络故3.4网络故3.5网络故.网络故障的4.1网络故4.2网络故............................................................分析－某中故障诊断－故障诊断－故障诊断－故障诊断－的诊断方法 ..故障的诊断顺故障的诊断方        ............................................................中学网络故障查找上网速分析网络利分析网络中检测应用程....................顺序 ..............方法 ..............             ‐ 2 ‐ 目 录............................................................障诊断 .........速度慢的原因利用率 .........中的流量占用程序是否正常............................................................            ................................................................................因 ......................................用 ..................常 ..............................................................................           ............................................................................................................................................................................................................................科来网络分析................................................................................................... ‐................... ‐................... ‐................... ‐................... ‐................... ‐................... ‐析系统 . ‐ 3 ‐ . ‐ 3 ‐ . ‐ 6 ‐ . ‐ 6 ‐ ‐ 12 ‐ ‐ 15 ‐ ‐ 17 ‐ ‐ 20 ‐ ‐ 23 ‐ ‐ 23 ‐ ‐ 23 ‐ 1. 息查度快位日域网及安攻击协议时断所以攻击在这2. 它通速准非技用性分析络管应用背景目前，计算查询、邮件收快、信息价值日常工作不可网络的飞速网内部以及局安全性方面都击源等故障一议分布、通讯断时续、不能网络中的数以，随着网络击事件也必会这种大的网络系统概述科来网络分通过捕获并分准确定位故障技术人员，也性价值，并确科来网络分析，为排查网管理人员的必科来网络分分析网景  算机网络的发展收发、数据共享值高、信息处理可或缺的一部速发展给企业局域网与互联都承受着巨大一直制约着网讯连接、数据包能正常上网、数据传输是不络规模的不断扩会不断增加。络环境下，网述  分析系统是一分析网络中传障点并解决网也能快速排查确保整个网络分析系统具备网络故障、提升必备工具。分析系统的主网络中的流量        展异常迅猛，享等各种办公理和利用方便部份，整个社会业和用户带来联网之间过多大的压力，网络络的正常运包原始内容以遭受攻击故不透明的，在扩大和网络应此时，保障整络分析系统一个集故障诊传输的底层数据络故障，同时网络故障，从络的持续可靠运备了行业领先升网络安全、主要功能有：量占用情况；            ‐ 3 ‐ ，各政府部门公操作。由于便等优点，使会已步入网络了便利，但同的数据通信，络时断时续、行。在这种情以及整个网络障出现时，快不借助网络分应用的不断增整个网络的持的普及将成为断、安全分析据包，有效反时，系统的专从而规避网络运行。的网络分析技、评估网络性            门和企事业单于计算机网络使得计算机网络信息化时代同时也对网络，使网络及网、网络速度慢情况下，管理人络的运行情况快速准确地定分析系统的情增多，网络故持续可靠和安为必然。析、性能评估于反映网络通讯专家诊断功能络安全风险，技术，它可以性能提供最全           单位，都大量络通信具备信网络通信已逐代。络管理提出了网络设备在负慢、网络遭受人员必须对网况了如指掌，定位故障点并情况下，很难故障必将变得安全运行，将于一体的综合讯状况，帮助能，可以使不提高网络性以对当前复杂全面和深入的科来网络分析量通过网络进信息量大、更逐渐成为企事了严峻的挑战负载、工作效受攻击却无法网络的流量占才能在网络并将其排除。难完成上述要得日益复杂，将变得至关重合网络分析系助网络管理人不具备技术能性能，增大网杂的网络进行的数据依据，析系统 进行信新速事业单战。局效率以法定位占用、络出现要求。网络重要。系统，人员快能力的络可行精确是网分析内分析网分析网分析网分析网分析网分析网分析网分析网分析网分析网分析网网络中分析网分析网分析网分析查分析查分析查分析查分析查分析查分析网分析查内部网络和出网络中特定应网络中特定主网络中的异常网络中的伪造网络中的碎片网络中的DOS/网络中的TCP通网络中的邮件网络中的DNS通网络中的HTTP网络中的MSN通中的YahooMe网络中是否存网络中传输的网络的传输是查找网络存在查找网络中的查找网络中感查找网络速度查找网络时断查找内部用户网络中潜在的查找网络中运        口带宽的利应用的数据通主机的数据通常数据通讯；造IP和MAC地址和溢出攻击/DDOS/DRDOS攻通信；件收发是否正通讯是否正常P网页访问是通讯是否正常essage通讯是存在广播/组播数据包是否是否存在故障在的环路故障蠕虫病毒攻击感染病毒的机器度慢故障；断时续故障；无法上网故安全隐患；运行的扫描器            ‐ 4 ‐ 用率情况；讯；讯；址攻击；；攻击；常；常；否正常；常；是否正常；播风暴；正常；；；击；器；障；以及扫描攻击            击；           科来网络分析析系统 分析查分析查分析查分析查查找网络中暴查找网络中针查找网络中的查找网络中是        暴力破解用户针对Web服务器网卡、线路是否存在使用H            ‐ 5 ‐ 名与密码攻击器的攻击；以及对端设备HTTP代理的程            击；备速率故障；程序，如QQ、           、MSN。科来网络分析析系统 3. 3.13.1甚至ping机性应用案例1案例分析1.1故障描述故障地点：江苏省某中故障现象：严重网络阻至不能访问。故障详细描整个校园网g包测试时发性丢包，主机故障详细分前期分析初步判断引交换机ARP表广播或路由病毒攻击需要进一步ARP信息交换机负载网络中传输例 析 － 某中述 中学校园网阻塞，客户机之描述：网突然出现网发现，中心机房机房客户机对分析引起问题的原表更新问题由环路故障步获取的信息载输的原始数据        中学网络之间相互pin络通讯中断房客户机对中对二级交换机通因可能是：：据包            ‐ 6 ‐ 故障诊断g时严重丢包，内部用户均中心交换机管通讯的通讯丢            断 包，校园网用户均不能正常访管理地址的pi丢包情况更加           户访问互联网访问互联网，ing包响应时加严重。科来网络分析网的速度非常在机房中进时间较长且出析系统 常慢，进行现随3.1正常负载后，Netw网络是客手发认回在自源地弹出192.1.2故障具体开始实际具在主机房的常；登录中心载的实际流量XX中学校园我们在科来works）同时络中可能存在选择连接视客户端请求同发起连接，如回复，其状态自动扫描攻击详细查看图地址是192.16出的右键菜单.168.5.119主体分析排查具体排查工作的客户机和以心交换机查看量；使用科来园网的主机约来网络分析系时在线的IP主在伪造IP地址视图，发现在同步，即三次握果请求端向不态将会一直处击。图1的连接信息68.5.119。选单中选择“定主机。        查 作：下的客户机各端口的流量来网络分析系为1000台，统6.X主界面主机达到了65址攻击或自动在约2.5分钟的握手的第一步不存在的目的于请求同步直息，发现这些选中源地址是定位浏览器节            ‐ 7 ‐ 上分别使用量，由于交换统6.X捕获并一般情况下，面左边的节点15台，如图1扫描攻击。的时间内网络步，由TCP工的端发起了同直到超时断开些连接大多都是192.168.5.点端点1I            “arp–a”命换机反应速度并分析网络中，同时在线的点浏览器中发1，这表示网络中共发起了工作原理可知同步请求，由开，据此，我都是由192.16119的任意一IP”，这时节           命令查看ARP度较慢，操作中传输的数据的有600台左发现，内部网络网络存在许多了3027个连接，TCP工作时由于不会收到我们现在更加8.5.119主机一个连接，单节点浏览器将科来网络分析P缓存信息，作超时，无法据包。左右。在停止络（Private多伪造的IP主接，且状态大时首先通过三到目的端主机加断定校园网机发起，即连单击鼠标右键将自动定位到析系统 结果法获得捕获-Use机，多都三次握机的确中存连接的键，在到图2所且其动扫（图1网络选择图表视所示。查看图其中有2793个扫描攻击。（图2192络中的TCP连接视图，并选中图2可知，19个连接都是初2.168.2.119        接信息）TCP连接子视92.168.5.119初始化连接，9主机的TCP连            ‐ 8 ‐ 视图项，查看9这台主机在即同步连接，连接信息）            看192.168.5.在约2.5分钟的，这表示192           119主机的T的时间内发起2.168.5.119科来网络分析TCP连接情况起了2800个连9主机肯定存析系统 ，如连接，在自些数机产这台主机工作络的机发内的该病并感选择数据包数据包的大小产生，目标端台机器正在主机感染病毒程（图3192找到问题的作约10分钟左继续工作，隔的数据通讯，分析捕获到发起的同步连的发起的连接通过这个情病毒会主动扫感染这台主机包视图查看19小都是66字节端口都是445，主动对网络中程序，或者是2.168.2.119的根源后，正左右。隔离192.168约2.5分钟后到的数据包，网连接数都大大接数，其中同情况，我们可扫描网络中其机。如此循环        92.168.5.119节，协议都是C且数据包的主机的TCP4是人为使用扫9主机的数据包正准备对192.8.5.119主机后停止